Daglig leder og forskningssjef Kai Roer i KnowBe4 Research. Foto: KnowBe4 Research

Byggenæringen ned til bunnplassering på datasikkerhet

I løpet av 2020 rykket byggenæringen ned til en delt sisteplass blant samtlige næringer i forskningsinstituttet KnowBe4 Research sin globale datasikkerhetsrapport. – Dette er kritisk, advarer forskningssjef Kai Roer.

Denne artikkelen stod førs på trykk i Byggeindustrien nr. 8 i 2021.

I en undersøkelse gjort blant 1.872 organisasjoner i hele verden i 2020, svarer så godt som alle sikkerhetssjefer at de har bedriftens sikkerhetskultur øverst på prioriteringslisten. Likevel er det ingen av de totalt 18 representerte næringene som kommer opp på et nivå som kan kalles godt, konkluderer KnowBe4 Research. Helt nederst, med en sikkerhetsscore på 70 av 100, ligger byggenæringen sammen med undervisningssektoren.

Daglig leder og forskningssjef Kai Roer i norske KnowBe4 Research advarer bedriftene i bygg og anlegg mot å ta til takke med bunnposisjonen.

– Vi må kunne si at dette er dårlig sammenlignet med andre virksomheter. Dette er kritisk, og her er det viktig at bransjen tar seg sammen, understreker han.

Lavthengende frukt

Roer mener det er flere grunner til at byggenæringen presterer så dårlig innen datasikkerhet, men det at byggenæringen går ned fra 71 poeng i 2019 til 70 poeng og delt sisteplass i akkurat 2020, tror han kommer av den spesielle situasjonen under koronaviruset.

– Covid har nok noe av skylden for tilbakegangen. I 2020 måtte byggenæringen tåle store omveltninger og usikkerhet, og man hadde måneder hvor man ikke visste om man fikk jobbe eller ikke. Når økonomien blir usikker, endrer man prioriteringene sine, og det er naturlig at man reduserer de normale adferdsmønstrene for sikkerhet, sier Roer.

Bank og finans er de næringene som år etter år gjør det best i sikkerhetsundersøkelsen, men heller ikke her ligger gjennomsnittet over 80 poeng, som er nedre grense for å beskrive sikkerhetskulturen som god. Uavhengig av den pågående pandemien har byggenæringen ligget i det aller nedre sjiktet i alle de så langt fire årlige rapportene som KnowBe4 Research har publisert.

– Jeg forventer at byggenæringen vil gå opp ett eller to poeng når pandemien er over, men bedriftene i bygg og anlegg må likevel ta innover seg at de er lavthengende frukt for kriminelle hackere. Her må vi virkelig gjøre noe, advarer han.

Ifølge Roer lider byggenæringen av å være en fragmentert næring med mange ledd og mangel på sentralisert informasjon. Det er mange mer eller mindre kjente aktører som kommuniserer med hverandre, og selv innad i en bedrift kan forskjellige digitale verktøy være i bruk i forskjellige prosjekter. Den uoversiktlige situasjonen gjør det lettere for hackere og svindlere.

– Holder det altså ikke å oppdatere brannmuren for å være trygg?

– I mange år mente bransjen min at det holdt å kjøpe det siste produktet for å ha god datasikkerhet, og du trenger virkelig ny teknologi for å beskytte deg. Problemet er at det er mennesker som har laget denne teknologien, og det er mennesker som bruker den. Vi er alle veldig forutsigbare i våre adferdsmønster, og de kriminelle kan ved hjelp av enkle teknikker få oss til å gjøre det de ønsker at vi skal gjøre, sier Roer.

Under angrep

Den helt klart vanligste inngangen som brukes for å gjøre datainnbrudd, er såkalt «phishing», som går ut på å lure til seg påloggingsinformasjon eller betalingsinformasjon ved hjelp av epost. Her er faktisk samtlige av oss under konstant angrep, uansett næring.

– Det sendes ut phishing-eposter til alle verdens epostadresser hver eneste dag, forteller Roer.

Strategiene er forskjellige, men målet er å stjele informasjon og penger. De fleste har blitt forsøkt lurt med for eksempel falske hentelapper fra posten hvor man blir bedt om å betale utestående toll. Med denne typen svindel er målet å lure til seg små beløp fra mange svindeloffer. Et litt mer avansert angrep er å sende forfalskede beskjeder fra tjenesteleverandører som Apple, Amazon eller Netflix, hvor man blir bedt om å logge seg inn i det som ser ut som et legitimt innloggingsvindu, men som egentlig kopierer brukernavn og passord for å få kontroll over kontoer og informasjonen som ligger lagret der.

Noen angrep er mer spesifikt rettet mot person basert på offentlig tilgjengelig informasjon eller data som ligger til salgs fra store leverandører som Facebook og Google.

– I en såkalt direktørsvindel kan sjefen i bedriften motta fakturaer som de venter på, tilsynelatende fra leverandører som de har bestilt varer fra. Dette er penger du aldri ser igjen. Og hvis hackerne får tilgang til kontoene dine, risikerer du at de setter opp filtre hvor de kontrollerer hva du selv får se av dine egne eposter, og de kan vente i flere måneder før de bestemmer seg for hvilken svindel de skal gjennomføre. I løpet av denne tiden kan de ha fått tilgang til alle maskiner og alle sikkerhetskopier. Hele kundegrunnlaget ditt, hele fakturagrunnlaget – hele livet ditt som bedriftseier kan bli holdt mot løsepenger. Når de først er inne, har vi ikke teknologien til å oppdage det, sier Roer.

– Så hva kan vi gjøre?

– Du må forstå hvilke verdier du sitter på, og så må du bestemme deg for hvor mye du vil bruke på å beskytte disse verdiene. Og sikkerhetskultur er noe som må læres. Jeg vil ikke rope ulv-ulv, men vi er alle mål, sier Roer.